策划阶段，***应：定义I***S的范围和方针；定义风险评估的系统性方法；识别风险；应用***确定的系统性方法评估风险；识别并评估可选的风险处理方式；选择控制目标与控制方式；当决定接受剩余风险时应获得管理者同意，并获得管理者***开始运行信息安全管理体系。实施阶段，***应该实施选择的控制，包括：实施特定的管理程序；实施所选择的控制；运作管理；实施能够促进安全事件检测和响应的程序和其他控制。检查阶段，***应：执行程序，检测错误和违背方针的行为；定期评审I***S的有效性；评审剩余风险和可接受风险的等级；执行管理程序以确定规定的安全程序是否适当，是否符合标准，以及是否按照预期的目的进行工作；定期对I***S进行正式评审，以确保范围保持充分性，以及I***S过程的持续改进得到识别并实施；记录并报告所有活动和事件。)